于東 安胤舉

一、問題的提出

鐵西區(qū)現(xiàn)有中小學77所，基本實現(xiàn)了“校校通”、“班班通”，55所學校及教育局直屬單位通過自建光纖與區(qū)教育網(wǎng)絡中心實現(xiàn)互聯(lián)，其余學校通過租用聯(lián)通公司裸纖與區(qū)教育網(wǎng)絡中心實現(xiàn)互聯(lián)。但隨著網(wǎng)絡應用的增加，一些問題隨之而來。已經(jīng)影響到網(wǎng)絡的正常運行。主要表現(xiàn)在以下幾個方面：城域網(wǎng)接人不可控，出現(xiàn)安全事件時很難定位最終用戶，用戶網(wǎng)絡行為無法控制，無法提供差異化的服務，多個應用系統(tǒng)登錄存在問題。特別是多個應用系統(tǒng)登錄問題，鐵西區(qū)現(xiàn)有教育網(wǎng)站和視頻點播兩套應用系統(tǒng)，還將陸續(xù)引進流媒體廣播、數(shù)字圖書館、基礎教育電子期刊庫、教育資源中心等應用系統(tǒng)，這些分屬不同廠商的系統(tǒng)都有各自獨立的用戶身份識別系統(tǒng)，且互不兼容，要多次輸入賬戶和密碼，非常不方便。

二、解決方案

要想解決上述問題，必須解決網(wǎng)絡行為審計和用戶實名制登錄兩個關鍵問題，還城域網(wǎng)一個安全和綠色的本來面目。通過對國內(nèi)網(wǎng)絡安全產(chǎn)品的調(diào)研，初步選定了銳捷RG-EGl000系列易網(wǎng)關和RG－SMP統(tǒng)一身份認證系統(tǒng)。即每所中小學在出口部署一臺RG－EG1000系列易網(wǎng)關，區(qū)教育網(wǎng)絡管理中心部署RG-SMP統(tǒng)一身份認證系統(tǒng)。具體架構(gòu)見圖1。在對這套方案的論證過程中。發(fā)現(xiàn)存在一些不足：

第一，學校規(guī)模不同。有的學校上網(wǎng)計算機數(shù)量接近400臺，有的學校上網(wǎng)計算機數(shù)量僅為20多臺，而且同一學校不同時間上網(wǎng)的計算機數(shù)量也會發(fā)生變化，這就要求選擇不同配置的產(chǎn)品。第二，學校的信息技術專業(yè)人員的能力和水平參差不齊，對設備的使用和管理千差萬別。第三，不排除個別學校會擅自摘掉該設備，脫離監(jiān)管。

為解決這些不足。我們提出了集中進行網(wǎng)絡管理的思路，即將所有的RG-EG1000系列易網(wǎng)關與RG-SMP統(tǒng)一身份認證系統(tǒng)全部部署在區(qū)教育網(wǎng)絡管理中心。具體架構(gòu)見圖2。在這套方案中，若干學校為一組，共同接入一臺二層全千兆交換機，每臺交換機連接一臺RG-EGl000系列易網(wǎng)關。這套方案既實現(xiàn)了網(wǎng)絡集中管理，又合理利用了設備。在具體實施過程中，有幾個問題需要進行考慮。

(1)學校如何分組。應把握這么幾個原則：第一，根據(jù)學校上網(wǎng)計算機數(shù)量分組，即多少搭配；第二，根據(jù)近幾年的流量監(jiān)控分組，即大小搭配；第三，根據(jù)學校的性質(zhì)分組，即中小學搭配。對于一些規(guī)模大的學校或重要部門，應單獨設為一組。

(2)交換機的選擇。國內(nèi)外可供選擇的產(chǎn)品非常多，指標千差萬別，質(zhì)量參差不齊，選擇時應把握這么幾個原則：第一，應支持IPv6協(xié)議；第二，普通的二層交換機即可；第三，至少應提供16個全千兆電口；第四，能夠劃分VLAN；第五，背板帶寬盡可能高；第六，功耗盡可能小，最好是無風扇設計。通過比較，我們選擇了銳捷RG-S2928G-E交換機。

(3)易網(wǎng)關的選擇。選擇時應把握幾個原則：第一，高性能轉(zhuǎn)發(fā)；第二，集成豐富的防火墻功能；第三，專業(yè)流控功能：第四，豐富并能實時更新的中文URL數(shù)據(jù)庫；第五，深層次內(nèi)容審計，本地化日志記錄，基于用戶身份的審計功能；第六，設備軟、硬件高可靠性；第七，可快速部署。通過比較，我們選擇了銳捷RG-EG1000S易網(wǎng)關。

(4)統(tǒng)一身份認證系統(tǒng)的選擇。銳捷RG-SMP統(tǒng)一身份認證系統(tǒng)具備的身份認證功能、主機端點防護功能、基于客戶端和基于Web認證的安全域管理、客戶機進程列表獲取功能、主機硬件變動日志功能、用戶端軟硬件信息學習和統(tǒng)計功能,ARP攻擊三重立體防御功能、基于網(wǎng)絡攻擊的自動隔離和阻斷功能等特征是業(yè)界很多產(chǎn)品所不具備的，能夠較好地服務于教育城域網(wǎng)的集中管理。在這套方案中，通過銳捷RG-EGl000S易網(wǎng)關與RG-SMP統(tǒng)一身份認證系統(tǒng)的組合，實現(xiàn)了實名制的訪問權(quán)限控制、實名制的流量控制、實名制的行為管理及日志審計。

此外，為解決多個應用系統(tǒng)重復輸入賬戶和密碼的問題，我們選擇了銳捷的RG-SSO組件來實現(xiàn)單點登錄問題，真正做到了“統(tǒng)一身份，統(tǒng)一認證，統(tǒng)一登錄，統(tǒng)一入口”。

由于城域網(wǎng)用戶數(shù)眾多，所以必須利用分布式身份認證去滿足城域網(wǎng)用戶的高速進網(wǎng)認證的實名制上網(wǎng)需求：同時，安全策略卻正好相反，需要一套統(tǒng)一的安全管理中心實現(xiàn)安全策略的快速部署與執(zhí)行，并能夠有機地將城域網(wǎng)的各種安全手段充分調(diào)動起來，實現(xiàn)基于用戶身份的安全控制。

(編輯：王天鵬)